인기 태그:
가상화 DNS 보안 형식적 검증 도달 가능성 분석 C언어 경제 컴파일러 오류 매크로 충돌 웹 확장 기능 개발 프레임워크 모든 태그

정교한 PDF 피싱 사기가 모바일 보안을 우회하다

2025-02-01
정교한 PDF 피싱 사기가 모바일 보안을 우회하다

모바일 기기를 표적으로 하는 새로운 피싱 사기는 전례 없는 난독화 기법을 사용하여 위조된 미국 우편 서비스(USPS) 페이지 링크를 PDF 파일에 숨기고 있습니다. PDF 요소를 조작하여 클릭 가능한 URL은 사용자와 모바일 보안 시스템 모두에게 보이지 않게 되어 여러 엔드포인트 보안 솔루션의 탐지를 우회합니다. 악성 PDF는 SMS로 전송되며 배송 실패 알림으로 위장합니다. 링크는 압축 스트림에 삽입되고 글꼴 색상과 배경 색상을 일치시켜 숨겨지며 이미지 아래에 배치됩니다. 무해해 보이는 "업데이트 클릭" 버튼을 클릭하면 실제로는 숨겨진 링크가 활성화되어 위조된 USPS 사이트로 유도되어 데이터가 도난당합니다. 악성 PDF 20개 이상의 변형과 50개 언어를 지원하는 630개의 피싱 페이지는 국제적인 표적과 피싱 키트의 가능성을 시사합니다. 이는 모바일 사용자가 PDF를 신뢰하는 것의 취약성과 모바일 보안 조치의 강화 필요성을 강조합니다.

더 보기
(www.scworld.com)
기술 PDF 보안

새로운 LLM 제일브레이크는 모델의 평가 기술을 악용합니다

2025-01-12
새로운 LLM 제일브레이크는 모델의 평가 기술을 악용합니다

연구원들은 "나쁜 라이커트 판사"라고 불리는 새로운 LLM 제일브레이크 기법을 발견했습니다. 이 기법은 LLM이 유해한 콘텐츠를 식별하는 능력을 이용하여 유해한 콘텐츠의 평가를 요청한 후 예시를 요청함으로써 맬웨어, 불법 행위, 괴롭힘 등과 관련된 출력을 생성합니다. 최첨단 6개 모델에서 1440건의 사례를 테스트한 결과 평균 성공률은 71.6%였으며 최고 87.6%에 달했습니다. 연구원들은 LLM 애플리케이션 관리자는 이러한 공격을 완화하기 위해 콘텐츠 필터를 사용하는 것을 권장합니다.

더 보기
(www.scworld.com)
기술 LLM 보안 제일브레이크

Apache Traffic Control의 심각한 취약성으로 악의적인 SQL 인젝션 가능

2024-12-30
Apache Traffic Control의 심각한 취약성으로 악의적인 SQL 인젝션 가능

Apache Traffic Control 8.0.0 및 8.0.1 버전에서 심각한 취약성(CVE-2024-45387)이 발견되었습니다. 이 취약성으로 인해 'admin' 또는 'operations'와 같은 권한이 있는 공격자는 특수하게 제작된 PUT 요청을 통해 악의적인 SQL 명령을 삽입할 수 있습니다. 데이터베이스와 상호 작용하는 입력 필드를 조작하여 공격자는 데이터베이스 전체를 손상시킬 수 있는 SQL 쿼리를 실행할 수 있으며, 이로 인해 무단 데이터 액세스, 수정 또는 삭제가 발생하여 CDN 서비스의 무결성과 가용성에 심각한 영향을 미칩니다. 보안 전문가는 SQL 인젝션 공격으로부터 시스템을 보호하기 위해 즉시 업데이트할 것을 강력히 권장합니다.

더 보기
(www.scworld.com)
기술 SQL 인젝션

국제 공조 작전 PowerOFF, DDoS 공격 플랫폼 27개 폐쇄

2024-12-17
국제 공조 작전 PowerOFF, DDoS 공격 플랫폼 27개 폐쇄

유럽 형사 경찰 기구(유로폴) 주도로 15개국이 참여한 'PowerOFF' 작전에서 주요 DDoS 공격 플랫폼(일명 '부터' 및 '스트레서' 웹사이트) 27개가 폐쇄되었습니다. 이 플랫폼들은 사이버 범죄자와 해커들이 불법 트래픽으로 목표를 공격하여 웹사이트와 온라인 서비스를 마비시키는 데 사용되었습니다. 이 작전은 미국 법무부와 FBI 등 미국 정부 기관을 겨냥한 공격도 차단했습니다. 상당한 성과를 거두었지만, 전문가들은 범죄자들이 빠르게 적응할 것이라고 경고하며, DDoS 공격 대응에는 지속적인 노력이 필요하다고 강조합니다.

더 보기
(www.scworld.com)
기술 DDoS 공격 국제 공조